Da Datensicherheit kein einmaliges Unterfangen, sondern ein fortlaufender Prozess ist, liegt es an Unternehmen dahingehend etablierte Routinen zu schaffen. Nur so kann wirklich eine restlose Einhaltung der geltenden Datenschutzvorschriften gewährleistet werden.
Nicht nur an die Cloud, sondern auch an physische Datenträger denken
Zuletzt forderten Unternehmen wieder einmal eine Nachbesserung der geltenden Datenschutzgrundverordnung. Obwohl diese nun schon seit längerer Zeit in Kraft ist, bestehen nach wie vor einige Unklarheiten, zudem monieren Unternehmen regelmäßig den immensen Aufwand. Die DSGVO erfasst aber eben nicht nur online verfügbare Daten, sondern gilt genauso für alle isolierten Datenbanken und physischen Datenträger.
Sicherheitsrisiken betreffen folglich nicht nur Cloud-Lösungen oder verwandte Systeme, sondern können sich ebenso bei alten Laptops, aussortierten Servern oder Backup-Datenträgern manifestieren. Die vom Gesetzgeber festgelegten Vorschriften und Richtlinien enden hingegen nicht mit der Nutzung der jeweiligen Geräte und Medien. Das ist nachvollziehbar, denn ob diese nun noch genutzt werden oder nicht, sensible Daten befinden sich da so oder so: Kunden- und Mitarbeiterdaten, möglicherweise Vertragsunterlagen, behördliche Dokumente oder Teile der internen Kommunikation.
Datenträger nur zu löschen genügt nicht
Die jeweiligen Dateien markieren und kurz in den Papierkorb verschieben - in der Praxis reicht das nicht. Selbst eine Formatierung des Datenträgers ist nicht gleichbedeutend mit einer vollständigen Löschung, denn oftmals bleiben zumindest Teile der Daten bei entsprechendem Aufwand weiterhin rekonstruierbar. Das ist aus Unternehmenssicht fatal. Die sollten sich auch dann nicht in Sicherheit wiegen, wenn sie softwarebasierte Tools nutzen. Speziell bei defekten Datenträgern oder SSDs liefern auch diese zumeist keine maximale Verlässlichkeit.
Möglichkeiten zur sicheren Löschung gibt es dennoch. Eine physische Festplattenvernichtung von einem externen, darauf spezialisierten Dienstleister sorgt dafür, dass derartige Datenträger nicht mehr wiederhergestellt werden können. Die Dienstleister, die solche Leistungen anbieten, bedienen sich dafür unterschiedlicher Verfahren: Sie können Datenträger zerkleinern, schreddern und mechanisch schlichtweg in ihre Einzelteile zerlegen. Das ist auch mit entsprechenden Sicherheitsstufen nach den festgelegten DIN-Normen möglich und eignet sich beispielsweise für nicht mehr eingesetzte USB-Sticks, Festplatten und SSDs.
Fehler vermeiden, Datensicherheit und Cyberresilienz steigern
Ein strategischer, nachhaltiger und erprobter Umgang mit Daten wird sich nicht von allein ergeben, sondern muss in Unternehmen manuell fest etabliert werden. Das beginnt mit der Vermeidung von typischen Fehlerquellen:
- wenn alte Hardware nur eingelagert, aber nie vernichtet wurde
- wenn Geräte verschenkt oder wiederverkauft werden
- wenn es keinerlei feste Prozesse für eine Ausmusterung alter Datenträger gibt
- wenn keine Vorgaben zur Dokumentation existieren
Interne, klar kommunizierte und ständig aktualisierte Richtlinien können das verhindern. Das steigert im Umkehrschluss indirekt auch die Cyberresilienz eines Unternehmens, da es somit weniger Angriffsvektoren bietet. Speziell die Cybersicherheit rückte zuletzt aufgrund der NIS2- und DORA-Umsetzung wieder einmal in den Fokus und verdeutlichte, dass zwischen Theorie und Praxis auch auf höchsten Ebenen eine Lücke klafft. Letztlich gilt: Datensicherheit ist praktisch und ganzheitlich zu denken, denn nur so können Schwachstellen identifiziert und proaktiv geschlossen werden.
